Overføring av persondata til Storbritannia ved no-deal brexit – vil din virksomhet rammes?
Uten nye handelsavtaler med EU og EFTA før årsskiftet vil Storbritannia forlate EU og EØS 1. januar 2021 uten noen avtale. Dette kan få konsekvenser for flyt av persondata mellom virksomheter i Norge og Storbritannia.
Uten nye handelsavtaler med EU og EFTA før årsskiftet vil Storbritannia forlate EU og EØS 1. januar 2021 uten noen avtale. Dette kan få konsekvenser for flyt av persondata mellom virksomheter i Norge og Storbritannia.
EUs personvernforordning (GDPR) stiller krav til virksomheters bruk av opplysninger om enkeltpersoner. Et viktig formål med regelverket har også vært å redusere nasjonale hindre for flyt av persondata og bidra til økonomisk og sosial fremgang i EØS. Overføring av personopplysninger til stater utenfor samarbeidsområdet («tredjestater» i GDPR-terminologi) er derimot underlagt strenge vilkår for å beskytte personvernet.
Brexit vil som utgangspunkt innebære at Storbritannia regnes som en tredjestat. Norske virksomheter som overfører persondata til virksomheter i øyriket må i så fall overholde de mer restriktive reglene for overføring til tredjestater.
Storbritannia er en av Norges viktigste handelspartnere og samarbeidende virksomheter har ofte behov for å utveksle personopplysninger seg imellom, for eksempel om kunder og ansatte. Dette er for eksempel aktuelt for norske virksomheter som kjøper tjenester i Storbritannia, for eksempel leverandører av skytjenester eller HR-systemer. Etter brexit må slike virksomheter sørge for overføring i samsvar med GDPR kapittel 5.
Hvilke muligheter finnes i så fall for å fortsette å overføre persondata sømløst til britiske virksomheter?
Utgangspunktet er at overføring til tredjestater bare kan skje dersom EU-kommisjonen fatter beslutning om at staten har tilstrekkelig beskyttelsesnivå. Slik beslutning er blant annet fattet for Canada, Israel og Sveits. Om Kommisjonen er villig til å fatte en slik beslutning i tide for Storbritannia er usikkert. For Japan har prosessen pågått siden januar 2017, og det er fortsatt steg som må gjennomføres. I tillegg vil nok Kommisjonen legge atskillig vekt på at Storbritannia i september 2018 ble dømt for brudd på menneskerettighetene grunnet masseovervåking. Storbritannia har imidlertid gjennomført GDPR noe som kan tilsi en raskere prosess.
I mangel av beslutning om tilstrekkelig beskyttelsesnivå kan persondata overføres til tredjestater ved at partene inngår såkalte standard personvernklausuler vedtatt av EU-kommisjonen. I dag foreligger det to standardavtaler som kan brukes mellom behandlingsansvarlige i og utenfor EØS. Standardavtalene kan være nyttige for norske og britiske virksomheter med behov for informasjonsutveksling om ansatte, kunder osv. I tillegg er det vedtatt en standardavtale som kan inngås mellom en behandlingsansvarlig innenfor EØS, og en databehandler utenfor.
Norske virksomheter som benytter skytjenesteleverandører i tredjestater (for eksempel til lagring av ansattopplysninger og kundedata) kan bruke denne standardavtalen som overføringsgrunnlag.
Derimot kan avtalen ikke benyttes mellom én databehandler i, og en annen utenfor EØS, noe som kan illustreres slik: Hvis din virksomhet har outsourcet selskapets IT-drift til en systemleverandør etablert i EØS, kan ikke leverandøren overføre persondata til underleverandører i tredjestater basert på standardavtalen.
Din virksomhet må i så fall selv inngå standardavtale med underleverandøren eller gi fullmakt til leverandøren som inngår avtalen på dine vegne.
Spørsmålet om gyldigheten av EUs standardavtaler kom på spissen i en nylig avsagt dom fra EU-domstolen, men ble besvart benektende. Domstolen presiserte imidlertid at det er den behandlingsansvarlige sitt ansvar å vurdere om beskyttelsesnivået i landet personopplysningene overføres til basert på standardavtalene er tilstrekkelig.
Konserner med britiske datterselskaper kan også ta i bruk bindende virksomhetsregler for internoverføring av personopplysninger i konsernet. Virksomhetsreglene må sørge for at personvernregelverket overholdes og at alle selskaper i konsernet er forpliktet. GDPR angir en rekke krav til reglenes innhold, herunder kontrollmekanismer for overholdelse av reglene. En utfordring med denne løsningen er at virksomhetsreglene må godkjennes av Datatilsynet. Slik prosess og godkjennelse kan ta lang tid.
Dersom ingen av de ovennevnte overføringsgrunnlagene er relevante, kan overføring til tredjestater skje i særlige situasjoner som angitt i GDPR artikkel 49. Grunnlag foreligger blant annet hvis personen det behandles opplysninger om eksplisitt har samtykket til overføringen, eller hvis overføringen er nødvendig for å inngå en avtale mellom den behandlingsansvarlige og enkeltpersonen. Hvorvidt en kan benytte overføringsgrunnlagene i artikkel 49 krever en grundig vurdering.
Hvilke tiltak bør din virksomhet forberede nå?
Alle norske virksomheter bør kartlegge om de overfører personopplysninger til Storbritannia. Hvis svaret er ja, må det vurderes om dere har eller kan få på plass et tilstrekkelig og lovlig grunnlag for overføringen. Det bør også undersøkes om virksomheten benytter databehandlere i EØS med underleverandører (databehandlere) i Storbritannia. I tillegg bør det gjennomføres en risikovurdering av overføringen til tredjestat i tråd med regelverket.